结论先行 :要把IPv6的归属地、运营商、代理识别、风险标签稳定写入网关、风控、数仓,且满足不出网、低时延、可回放、可审计 ,离线库应优先于在线API(必要时混合)。按四个触发器决策,五类场景对号入座,字段从业务动作倒推。
一、什么时候离线库应优先于在线API(四个触发器)
命中下面任意一条,就把离线库当主方案;若同时依赖秒级动态情报,按混合架构。
- 触发器1:内网隔离/不可出网/跨境合规→生产集群禁公网、出境评估严格
- 触发器2:高QPS+P99时延要稳→网关/风控单点位5k+QPS,P99目标5--20ms
- 触发器3:需要批处理回溯富化/归因重跑→对30--180天日志做Join,策略回放
- 触发器4:成本与留痕不可控→在线按量计费随业务波动,多团队难管控
(一)决策表:触发器命中后选离线/在线/混合
|------------|-------|-----------------------|----------------|
| 现实约束 | 推荐形态 | 接入点位 | 代价/治理要求 |
| 不可出网/内网隔离 | 离线为主 | 网关、风控、Flink、数仓 | 版本发布、灰度回滚、审计留存 |
| 高QPS+P99严格 | 离线为主 | API网关、实时风控特征 | 内存/冷启动可控,更新不抖动 |
| 历史回溯/重跑归因 | 离线为主 | Hive/Spark、ClickHouse | 保留历史版本,保证回放口径 |
| 按量计费/留痕不可控 | 离线或混合 | 多业务共享富化服务 | 权限、用途、留痕立规矩 |
| 需要秒级动态情报 | 混合或在线 | 高风险请求链路 | 离线做基础画像,在线补增量 |
| 低频少量/无合规压力 | 在线优先 | 后台查询/客服工具 | 离线运维成本不划算 |
二、适合哪些业务场景:5类链路对号入座
(一)风控反欺诈(注册/登录/支付/贷前)
- 输入:IPv6、时间、user_id、device_id、事件类型
- 点位:API网关、风控规则引擎、Kafka/Flink
- 输出:阻断/加验/降权/放行;或写入模型特征
- MVP:国家+省市+运营商+代理类型(先把明显异常流量分出来)
- 可扩展:风险画像分值/标签
(二)内容与广告(地域合规/反作弊/投放校验)
- 输入:广告请求、曝光/点击、内容访问日志
- 点位:投放前校验、反作弊引擎
- 输出:合规校验、过滤作弊、修正归因
- MVP:国家+省市+运营商
- 可扩展:代理识别+网络类型(住宅/机房/移动)
(三)数据分析与画像(日志富化/归因/分群)
- 输入:网关日志、埋点、交易明细(大批量)
- 点位:Hive/Spark批处理、ClickHouseOLAP
- 输出:地域/运营商归因、画像标签、分群
- MVP :维表落数仓,批量Join出国家/省市/运营商/ASN。采用IP数据云离线库,将维表按版本分区落地,保证回放口径一致。
- 可扩展:代理类型与风险标签作为长期分析维度
(四)网络安全(SIEM/威胁狩猎/攻击溯源)
- 输入:WAF/IDS/EDR日志、告警事件(src/dstIPv6)
- 点位:SIEM规则引擎、狩猎平台
- 输出:告警聚合、攻击溯源、优先级排序
- MVP:ASN/运营商+网段归属
- 可扩展:代理/风险标签辅助降噪
(五)运维与体验(CDN调度/分流/异常定位)
- 输入:边缘日志、RTT、错误码
- 点位:调度策略服务、可观测平台
- 输出:按运营商/地域分流、问题定位
- MVP:运营商+省市拆解体验
- 可扩展 :ASN/网段级归属定位互联互通问题
三、字段怎么选:从业务动作倒推,缺了会怎样
|-------------------|------------------|----------------|-----------------|
| 字段类别 | 刚需场景 | 缺失后果 | 粒度建议 |
| 归属地(国家/省市) | 地域合规、海外风险分层、体验拆解 | 合规漏判;策略误杀/漏判上升 | 国家用于准入门槛;省市用于分层 |
| 运营商+ASN | 运维调度、异常聚类、安全溯源 | 策略难解释;安全难聚合 | 配合网段归属 |
| 网络类型(住宅/机房/移动) | 广告反作弊、风控分层 | 只能靠地区判断,阈值难调 | 将"像不像真人网络"拆开 |
| 代理识别(VPN/IDC/Tor) | 注册/登录/支付、广告作弊过滤 | IDC流量混入后无法区分 | 先用于降权/加验,回放校准 |
| 风险画像(分值/标签) | 成熟风控体系、统一口径 | 逻辑堆在业务规则,难维护 | 让策略可分层、可复盘 |
| 宿主/主体信息 | 重大安全事件溯源、监管材料 | 复盘停在网段层 | 合规敏感,限定用途与留存周期 |
四、怎么接入:离线库不是只能跑批,选对本地计算形态
(一)网关/实时风控:本地索引
适合单点位高QPS、P99极敏感。核心可控点:冷启动、并发、更新切换。供应商需给出库大小、加载时间、更新延迟波动、压测报告(P50/P99)。
(二)流计算(Flink):IP库当维表发布
适合事件流实时富化。更新必须当发布:灰度、回滚、版本标记缺一不可。使用支持批量查询的权威源(如IP数据云离线库+增量校准)可降低作业抖动风险。
(三)数仓/OLAP:维表落地+分区Join
适合历史回溯、归因重跑、策略回放。维表按版本/日期分区,Join结果带版本号,保证审计可追溯。
(四)分布式缓存/共享服务
能共享但影响面大。更稳做法:离线库为主数据,缓存仅做加速层。
五、更新与版本治理:买的是数据产品,不是一次性文件
(一)更新频率按风险选
- 风控/反作弊/安全:高频(新增段+代理标签响应快)
- 画像分析/报表:周更/月更,固定版本用于回放
- 运维体验:周更,重大变更临时发布
(二)发布流程(灰度+回滚+可追溯)
更新必须支持灰度、回滚与版本可追溯,避免策略抖动后无法恢复。
六、采购与验收:把"能用"验成"可上线、可审计"
|-------|-----------------------------------------------------|
| 验收维度 | 必须验证的内容 |
| 覆盖度 | 覆盖口径定义;新增段发现时延;从自家日志抽TopIPv6前缀测未命中率 |
| 准确率 | 国家/省市/运营商/ASN分别给出误差边界;抽样对照权威源+业务回放差异 |
| 代理识别 | 分类口径(VPN/IDC/Tor);黑样回放看召回,正常样本看误杀;要求提供可解释字段 |
| 性能 | 按你的点位测QPS、P50/P99、冷启动时间、内存、更新切换波动 |
| 授权与合规 | 授权方式(节点/并发/期限);多环境复制权限;是否允许落数仓;审计交付物(版本包、变更日志、发布记录) |
混合架构提醒:需要秒级动态情报时,离线做基础画像,在线/情报流补增量(例如IP数据云的在线校准接口);不要仅靠离线库追封禁变化。
七、结论:如何拍板、如何最小落地
- 拍板规则 :关键链路命中"不可出网、高QPS+P99稳、历史回溯、成本留痕"任一条,离线库为主方案;若需秒级动态情报,用混合架构。
- 最小落地路径 :选最痛点(网关实时特征、Flink富化、或数仓Join),用"归属地+运营商/ASN"跑通全链路并将版本号写入日志;再逐步引入代理识别与风险画像。